Tag Archive: PRISM


facebook-privacy

Hace un par de semanas, Facebook pasó a ocupar todos los titulares al confirmar un problema de seguridad que afectaba a los datos personales de más de seis millones de usuarios. Según explicaba esta red social, el bug permitía que un usuario que descargaba una copia de su archivo personal viera en sus contactos alguno datos que estos no habían hecho públicos. Sin embargo, este fallo dejó al descubierto algo peor: Facebook tiene más información nuestra de lo que dice.

Cuando Facebook notificó a los usuarios afectados que algunos de los datos habían estado disponibles para otros, algunas personas se sorprendieron al ver que la red social tenía en su poder direcciones de correo alternativas o de trabajo, o incluso teléfonos móviles que sí les pertenecían a ellos pero que, sin embargo, nunca los habían compartido con la red social. ¿Cómo consiguió Facebook estos datos? ¿Existe un “perfil sombra” de usuarios y no usuarios en los que se almacena toda la información que tienen sobre nosotros y de la que desconocemos su existencia?

> Buscar contactos, un arma de doble filo

¿Qué explicación tiene la situación que acabamos de comentar? Vamos a verlo con un ejemplo para entenderlo mejor. Imaginemos que un usuario ‘A’ se ha registrado en Facebook con una dirección A@direcciondecorreo.zxc. Es normal, por tanto, que la red social disponga de esa información. Pero resulta que, cuando estos avisaron de los fallos de seguridad, a A le llegó un correo avisando de que su dirección de correo A@direcciondetrabajo.zxc había podido ser vista por terceros. A nunca había compartido con Facebook esa dirección, que sólo usa para temas profesionales. ¿Cómo es posible que Facebook la tenga?

La respuesta es muy sencilla: gracias a la funcionalidad de “Buscar amigos” a partir de distintas opciones. Si un usuario ‘B’ que busca contactos a través de esta opción sube a los servidores de Facebook su agenda completa, la red social almacena, supuestamente, estos datos, comparándolos con los que ya tiene. Si ‘B’ tiene a ‘A’ entre sus contactos con su correo electrónico A@direcciondecorreo.zxc, Facebook ya puede saber qué número de teléfono le corresponde a ‘A’. Y viceversa: a través del número de teléfono puede asociar a A otras direcciones de correo, como A@direcciondetrabajo.zxc, sin que éste la haya especificado.

650_1000_encuentra-amigos-fb

– “Buscar amigos” en la versión web de Facebook –

¿Hace Facebook esto a escondidas del usuario? No exactamente: si el usuario consulta más información sobre cómo funciona el importar contactos, aparece un mensaje mal traducido donde se sugiere que los datos se almacenarán en los servidores de la red social:

“Importa contactos de tu cuenta y almacénalos en los servidores de Facebook, donde pueden utilizarse para ayudar a otros a buscar personas o conectar con ellas, así como para crear sugerencias para ti u otros. Puede importarse la información de contacto procedente de tu lista de contactos y de tus carpetas de correo. También pueden importarse los contactos profesionales, pero sólo debes enviar invitaciones a tus contactos personales. Invita únicamente a amigos a los que les gustará recibir la invitación.”

> Los “perfiles sombra”, ¿mito o realidad?

Cuando Facebook avisó del bug, argumentaban que el problema era que la información había llegado a gente que no debería tenerla, pero no explicaba el origen de esta información en primer lugar ni los motivos para tenerla guardada en sus servidores. Durante varios años se ha venido teorizando con la existencia de “perfiles sombra”, supuestos perfiles de usuario que sólo Facebook conoce y en los que se almacena todo tipo de datos: no sólo los que aporta el usuario en sí, sino también los que aportan sus amigos con métodos como el que acabamos de describir.

¿Y qué ocurre si no tienes cuenta de Facebook y piensas que estás totalmente a salvo de estos problemas de privacidad? Pues que estás equivocado: si un usuario te tiene en su agenda y en algún momento la ha importado a Facebook, la red social ya tiene a disposición tu información. Basta con compararla con la lista de contactos que hayan subido otros usuarios para crear una lista de relaciones, por mucho que no tengas tu propio usuario en la plataforma.

Facebook siempre ha insistido en que no existe ningún “perfil sombra” de los usuarios, pero este bug, e incluso la explicación oficial de la gente de Mark Zuckerberg, ha parecido confirmarlo. Es más, han reconocido que parte de la información filtrada no pertenece a usuarios de Facebook. ¿Por qué entonces la tiene la red social en sus servidores? Aquí entrarían en juego los “perfiles sombra” de usuarios no registrados que tanto han dado de hablar durante los últimos años.

“There were other email addresses or telephone numbers included in the downloads, but they were not connected to any Facebook users or even names of individuals”.

> Teléfono conocido, sí o sí, en Android

Pero el problema de seguridad que comentamos más arriba no es el único que ha acechado a Facebook últimamente. Symantec anunció la semana pasada haber descubierto que la app de Facebook para Android enviaba el número de teléfono desde el cual se estaba ejecutando a los servidores de la compañía. Esto se producía nada más que se abriera la aplicación, aunque el usuario no se hubiera identificado todavía ni introducido sus datos de acceso.

Desde Facebook no tardaron en reconocer el problema y afirmaron que no sólo dejaron de recoger números sino que, además, borraron también los que se habían ido almacenando durante el tiempo que se mantuvo activo el bug. El bug se ha solucionado en la nueva versión en beta de la app de Facebook, pero las versiones anteriores siguen teniendo este problema (independientemente de que la plataforma trate o no los datos, los sigue enviando).

> Lo que Facebook sabe de las webs que visitas

Facebook tiene tus correos (incluso los privados) y tu teléfono, pero además puede saber todas las páginas web que visitas. Esto no es algo nuevo: en 2010 un estudiante de doctorado holandés realizó un estudio en detalle que demostraba que los botones “me gusta”, que se pueden encontrar en multitud de medios y que muestran el número de “likes” que tiene una determinada página, también pueden ayudar a realizar un historial web que muestre todas las páginas por las que ha pasado un usuario.

650_1000_widgets-sociales

– Ejemplo de los widgets sociales de Facebook –

Arnold Roosendaal, el autor del paper, explica que tanto los usuarios que tienen cuenta (independientemente de que estén logueados o no logueados, si alguna vez lo han estado y no han borrado cookies, tienen una cookie de Facebook en su ordenador) como los que no la tienen pero han visitado algún sitio web con Facebook Connect (que, al parecer, también deja una cookie en todos los ordenadores, independientemente de que sean usuarios o no), parecen ser vulnerables a este tipo de seguimiento.

Cuando un usuario con cuenta visita una web con uno de estos botones, al estar estos alojados en Facebook, se produce un intercambio de información con los servidores de la red social. En alguna ocasión Facebook negó estas prácticas (no de forma oficial, sino a través de algún ingeniero), pero después llegaron a reconocerlas aunque aclararon que toda la información es “anonimizada” por lo que no puede enlazarse a un usuario en concreto y además se borra periódicamente. Esta práctica de seguimiento a través de los widgets sociales también la utilizan otros como Twitter o Google.

> Aún llega más allá: Facebook podría saber lo que compras

A finales de 2012, Facebook volvió a acaparar todos los titulares debido a su acuerdo con Datalogix, una compañía que administra los datos de las tarjetas de fidelización de distintos comercios en Estados Unidos (pensemos que podría equivaler aquí a la tarjeta El Corte Inglés o la tarjeta Family de Ikea, por poner dos ejemplos). No es ningún secreto que estas tarjetas sirven para generar patrones de compra, pero ¿complementan de algún modo a Facebook?

La respuesta parece ser que sí, ¿por qué iban a firmar un acuerdo si no fuera así? La idea es la siguiente: comparando qué anuncios se muestran a un usuario con lo que éste termina comprando (estas tarjetas suelen tener asociado un email, si coincide con el que tiene Facebook, la parte difícil ya está hecha), pueden entrar a valorar la efectividad (o la falta de la misma) de los anuncios que muestra a dicho usuario la red social.

Desde Facebook se apresuraron a asegurar que sólo compartían con Datalogix “IDs anónimas correspondientes a clientes expuestos a una determinada campaña de anuncios”. ¿Y si quieres darte de baja a pesar de todo? En Facebook no puedes hacer nada, puesto que ellos tienen contemplado en sus términos el poder compartir tus datos (eso sí, anonimizados) con terceros. Tendrías que ir hasta Datalogix y darles todos tus datos para que ellos te eliminen de sus servidores. Paradójico, ¿verdad?

> Facebook, ¿nuestro yo digital al completo?

Facebook sabe mucho sobre nosotros gracias a la información que nosotros mismos les proporcionamos a sabiendas (hay algunos estudios que dicen poder averiguar con exactitud la personalidad de un usuario basándose en sus “me gusta”, por ejemplo), pero también pueden llegar a conocer mucho más de forma indirecta, como acabamos de ver. Y esto, cuando hay escándalos como el de PRISM en el aire, deja patente el poco control que el usuario final tiene sobre sus datos en Internet.

Fuente | Genbeta

Anuncios
  • El diario ‘The Guardian’ revela el nombre de su fuente a petición de ésta
  • ‘Quiero que el mundo sepa lo que hace el Gobierno de EEUU’, declara
  • ‘Sé que no he hecho nada malo’, asegura en un vídeo publicado por el diario
  • Se encuentra en un hotel de Hong Kong desde hace tres semanas

La ‘fuente’ del escándalo del ciberespionaje que sacude Estados Unidos ha decidido dar la cara y defender públicamente su decisión. Se llama Edward Snowden, tiene 29 años y ha trabajado durante una década para los servicios de inteligencia norteamericanos. Fue asistente técnico en la CIA y hasta hace tres semanas trabajaba en las dependencias de la Agencia Nacional de Seguridad (NSA) en Hawai.

En una serie de vídeos difundidos por ‘The Guardian’, Snowden explica así su decisión: “No quiero esconderme porque no creo que haya hecho nada malo (…) No busco la atención del público porque la historia no va sobre mí. La historia es lo que está haciendo el Gobierno norteamericano (…) No quiero vivir en una sociedad donde se hace este tipo de cosas”.

Edward Snowden hizo las maletas el pasado 20 de mayo y se despidió de su novia con una vaga excusa. Pidió baja temporal en su último trabajo –para la contrata del Ministerio de Defensa Booz Allen Hamilton- alegando la necesidad de someterse a un tratamiento contra los ataques de epilepsia.

Antes de marcharse, eso sí, se aseguró de copiar una serie de documentos secretos, incluida una presentación en PowerPoint donde de explicaba con todo detalle la existencia de Prism, un programa de ciberespionaje que permite ingresar directamente en los servidores de los gigantes de internet como Google, Facebook, Microsoft, Skype, Yahoo y Apple.

Desde hace tres semanas está prácticamente encerrado en un hotel de Hong Kong, donde ha pasado la información a Glenn Greenwald, Ewen MacAskill y Laura Poitras, los periodistas de ‘The Guardian’ que han destapado el escándalo que ha dado la vuelta al mundo. Este mismo domingo, el ‘Washington Post’ también le identificaba como su fuente.

Snowden es consciente de que su decisión le convierte en uno de los ‘soplones’ más notables en la historia de Estados Unidos, junto a Daniel Ellsberg (que filtró los papeles del Pentágono) y el soldado Bradley Manning, la ‘garganta profunda’ de WikiLeaks, actualmente juzgado por alta traición.

> Una vida cómoda

Desde que decidió “exiliarse” en Hong Kong, tan sólo ha abandonado la habitación de su hotel en tres ocasiones. Teme que el NSA le esté espiando, y cada vez que usa clave en el ordenador, lo cubre con una tela roja, por temor a la existencia de cámaras secretas en su habitación.

“Sé que me van a hacer sufrir por mis acciones”, revela a ‘The Guardian’. “Pero me daré por satisfecho con haber revelado, aunque sólo será por un instante, el secretismo de las leyes y los irresistibles poderes ejecutivos que gobiernan el mundo hoy en día”.

“No tengo miedo porque es la decisión que he tomado”, asegura. “Sé que a los medios les gusta personalizar las historias, y sé que el Gobierno me querrá demonizar (…) Pero lo que quiero realmente es centrar la atención en estos documentos y abrir un debate entre los ciudadanos sobre el mundo en que queremos vivir. Mi única motivación es informar al público de lo que se ha hecho en su nombre“.

“Yo llevaba una vida muy cómoda, con un salario anual de 200.000 dólares y una novia con la que comparto una casa y con una familia adorable”, añade Snowden. “Estoy dispuesto a sacrificar todo esto porque no puedo vivir con la conciencia tranquila si permito que el Gobierno destruya la privacidad y la libertad en internet, y las libertades básicas de la gente con un sistema masivo de vigilancia construido en secreto”.

Fuente | El Mundo

Tiene acceso directo a los servidores de grandes proveedores de Internet. Las grandes compañías niegan un ‘agujero negro’ en su seguridad. ‘Es una invasión de la privacidad insostenible e inaceptable’. Verizon se ha limitado a señalar que está obligada por Ley. Apple y Facebook han negado que permitieran el acceso a sus servidores.

345636_204550_1

El Gobierno de Barack Obama no sólo tiene información sensible de millones de llamadas telefónicas, también tiene acceso directo a los datos y a los servidores de todopoderosas empresas de Internet como Google, Facebook o Apple. Una presentación en Powepoint de la Agencia de Seguridad Nacional (NSA) a la que ha tenido acceso los diarios ‘The Guardian’ y ‘The Washington Post’ probaría el control de EEUU sobre el contenido de determinados e-mails, fotografías, vídeos conversaciones de chat o transferencia de archivos.

El director de la NSA, James Clapper ha afirmado que este tipo de informaciones amenazan la seguridad nacional. Estas revelaciones son “una amenaza potencial a nuestra capacidad para identificar y abordar los riesgos a los que se enfrenta nuestro país”, aseguró en un comunicado difundido esta noche.

Aunque el documento -clasificado como ‘top secret- especifica que las operaciones de control de los servidores cuentan con la aprobación y colaboración de las empresas ‘espiadas’, el periódico inglés subraya que las compañías con las que ha contactado desconocen por completo estas tareas de la NSA a través de un programa bautizado como PRISM. Este programa supone una vuelta de tuerca a la normativa en vigor al respecto, la ‘Ley de Supervisión de Datos de Inteligencia sobre Extranjeros’ (FISA), reformada en 2008 para incluir más control sobre comunicaciones por móvil, Internet y correo electrónico y que da inmunidad a las compañías que voluntariamente proporcionan acceso a dichas comunicaciones a los servicios de inteligencia.

Un portavoz de Apple ha declarado que nunca “ha escuchado nada sobre PRISM” y Google ha remitido un comunicado en el que asegura que se “preocupa” por la seguridad de la información de sus usuarios y reconoce que proporciona a las autoridades la información a la que la ley le obliga pero matiza con rotundidad que no existe “una puerta trasera en nuestros sistemas” para el acceso al gobierno.

Sin confirmar oficialmente la existencia de este programa, la Casa Blanca ha asegurado que era esencial para la lucha contra el terrorismo.

“La prioridad número uno del presidente es la seguridad nacional de los Estados Unidos. Tenemos que tener las herramientas necesarias para hacer frente a las amenazas planteadas por los terroristas”, dijo el portavoz de la Casa Blanca, Josh Earnest.

El programa PRISM ha permitido una vigilancia a fondo de las comunicaciones entre millones de usuarios de Internet así como de los archivos que alojan en las compañías de Internet afectadas por este sistema. Microsoft fue, en 2007, la primera ‘espiada’. Yahoo, Google, Facebook, PalTalk -un proveedor pequeño que tuvo cierto protagonismo durante la Primavera Árabe y la actual crisis en Siria-, YouTube, Skype y AOL se unieron sucesivamente a las ‘redes’ de la NSA hasta 2011. Apple también está en la lista desde el año pasado.

El programa PRISM permite a la NSA, la mayor agencia de vigilancia del mundo, conseguir cualquier tipo de información o comunicación confidencial sin necesidad de solicitarlo a los proveedores de Internet o tramitar autorizaciones judiciales. La escala de este programa de vigilancia permite que la agencia gubernamental pueda tanto acceder a los datos almacenados en los servidores o hacer un seguimiento en tiempo real de las comunicaciones por Internet.

La presentación en Powerpoint que ha conseguido ‘The Guardian’ establece que uno de los objetivos del programa de vigilancia PRISM es cubrir las deficiencias de las órdenes de seguimiento de los sospechosos de terrorismo.

Estas revelaciones han confirmado, por otro lado, los peores temores de los defensores de los derechos civiles, que han estado intentando durante años arrojar luz sobre el uso por parte del Gobierno de la ‘Patriot Act‘, una ley aprobada después de los ataques del 11 de septiembre y que enmendaba la FISA para incluir el terrorismo como causa de ‘supervisión de las telecomunicaciones.

“Esto va más allá de Orwell”, denunció Jameel Jaffer, de la ONG American Civil Liberties Union (ACLU), en referencia al libro futurista de George Orwell “1984”. Algunos demócratas y republicanos electos denunciaron una invasión de la privacidad “insostenible e inaceptable”, en palabras del senador Bernie Sanders.

> Las empresas niegan su consentimiento

“La vigilancia de la NSA de casi todos los clientes de Verizon es un ataque increíble a nuestra Constitución”, denunció el republicano Rand Paul. Verizon se ha limitado a señalar en un comunicado que la empresa estaba legalmente obligado a obedecer dicha ley.

Otras de las empresas utilizadas para este ‘espionaje’ han afirmado que no tenían conocimiento del programa PRISM, y que no se ha permitido en ningún caso el acceso del gobierno a sus servidores y que sólo respondieron a solicitudes específicas de información.

“Nosotros no proporcionamos a ninguna organización gubernamental el acceso directo a los servidores de Facebook,” dijo Joe Sullivan, director de seguridad de Facebook. “Cuando a Facebook se le solicita los datos o información sobre individuos específicos, examinamos cuidadosamente esta solicitud en conformidad con todas las leyes aplicables, y proporcionamos dicha información sólo en la medida requerida por la ley”.

“Nunca hemos oído hablar de PRISM”, dijo Steve Dowling, portavoz de Apple. “Nosotros no proporcionamos información a ninguna agencia gubernamental, ni acceso directo a nuestros servidores, y si cualquier agencia gubernamental solicita los datos de un cliente tiene que ser con orden judicial“.

Fuente | El Mundo

A %d blogueros les gusta esto: